In mei 2018 ging de Algemene Verordening Gegevensbescherming (AVG) en de bijbehorende Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) in. Sindsdien mag de Autoriteit Persoonsgegevens (AP) als toezichthouder boetes uitdelen. Maar hoe worden zulke boetes berekend? Daarover gaat deze blog.
Bevoegdheid om boetes op te leggen
De toezichthouder kan zowel publieke als particuliere organisaties een boete opleggen. In het geval van het niet voldoen aan de AVG kan maximaal twintig miljoen euro of 4% van de wereldwijde jaaromzet opleggen (artikel 83 lid 4 en 5 AVG en artikel 17 en 18 UAVG). In 2021 heeft de AP elf boetes gepubliceerd op haar website. Deze variëren van 7.500 euro tot 2,75 miljoen euro. Voor het bepalen van de hoogte van de boetes hanteert de AP regels uit de door haarzelf gemaakte ‘Boetebeleidsregels Autoriteit Persoonsgegevens 2019’. Instanties die de AVG hebben overtreden willen echter meer transparantie en voorspelbaarheid van de boetes. Daarom is er een nieuw richtsnoer van de European Data Protection Board (EDPB). Dit moet zorgen voor uniformere boeteoplegging in de verschillende lidstaten van de Europese Unie.
Onduidelijkheid over wijze van opereren AP
In opdracht van het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) is onderzoek verricht naar onder meer de toepassing en effectiviteit van de bestuurlijke boete van de AP. In juni van dit jaar is het rapport gepubliceerd. De onderzoekers concluderen dat geen kenbaar beleid op het gebied van toezicht en handhaving door de AP bestaat. Het handelen van de AP is inconsistent. Regelmatig ontbreekt de dialoog met de vermeende overtreder van de AVG. In haar reactie op het rapport stelt de AP dat een mathematische vergelijking tussen verschillende casusposities weinig betekenis heeft. Uiteraard moet er naar de specifieke omstandigheden van het geval worden gekeken. Maar de onderzoekers merken terecht op dat enige rechtszekerheid wenselijk is.
Stappenplan voor het berekenen van boetes
Op 12 mei 2022 heeft de EDPB een richtsnoer voor de berekening van bestuurlijke boetes onder de AVG gepubliceerd. De hierin opgenomen aanbevelingen kunnen worden uiteengezet in de onderstaande vijf stappen. De opgelegde boetes moeten in ieder geval doeltreffend, proportioneel en afschrikkend zijn (artikel 83 lid 1 AVG).
Stap 1: Identificeren verwerkingsactiviteiten en overtreding(en)
Als eerste moeten de verwerkingsactiviteiten worden geïdentificeerd. Dan wordt beoordeeld of een verwerkingsverantwoordelijke of verwerker opzettelijk of uit nalatigheid meerdere voorschriften uit de AVG heeft overtreden. Is het laatste van toepassing? Dan kan de opgelegde boete niet hoger zijn dan de die van de zwaarste overtreding. De EDPB beschrijft verder uitgebreid de verschillende (on)mogelijkheden bij (niet-)cumulerende overtredingen.
Stap 2: Classificeren van de overtreding(en)
Na het inventariseren van de verwerkingsactiviteiten moet de inbreuk worden geclassificeerd binnen het raamwerk van de AVG (artikel 83 lid 4-6 AVG). Ook moet de ernst van de inbreuk in het specifieke geval worden bepaald. Tot slot moet de omzet van de vermeende overtreder worden bepaald. Bij de ernst van iedere inbreuk hout men rekening met de aard, de zwaarte en de duur van de overtreding. Nog specifieker stelt de EDBP dat de volgende zaken relevant zijn:
- de aard, de reikwijdte en het doel van de verwerking;
- het aantal getroffen betrokkenen;
- de zwaarte van de schade.
De omzet van de overtreder kan worden gebruikt om een passende boete op te leggen. Aan de hand van al deze criteria moet de toezichthouder het gepaste startbedrag bepalen.
Stap 3: Identificeren van verzwarende of verzachtende omstandigheden
Ten derde moet de toezichthouder verzwarende of verzachtende omstandigheden identificeren. Zijn er nu of vroeger omstandigheden die het gedrag van de verwerkingsverantwoordelijke of verwerker kunnen verklaren? Zo ja, dan kan het startbedrag worden bijgesteld naar een hoger of lager bedrag. Van belang bij deze beoordeling zijn onder meer:
- de genomen acties door de organisatie om schade te verminderen;
- de mate van verantwoordelijkheid;
- de mogelijke eerdere overtredingen;
- de mate van samenwerking met de toezichthouder.
Stap 4: Toetsen aan wettelijke kaders
Staan de van toepassing zijnde wettelijke kaders niet in de weg van de aanpassing van het bedrag in de derde stap? Het (veranderde) bedrag mag niet hoger zijn dan de neergelegde maxima in artikel 83 AVG. De AP zal daarnaast in deze stap ook haar eigen kaders uit haar beleidsregel moeten controleren.
Stap 5: Toetsen aan doeltreffendheid, proportionaliteit en afschrikking
Als laatste zal de toezichthouder moeten bekijken of het bedrag in voldoende mate doeltreffend, proportioneel en afschrikkend is. De boete moet de handhaving van de AVG versterken om doeltreffend en afschrikkend te zijn. De economische levensvatbaarheid van de te beboeten organisatie bepaalt hoe proportioneel de boete is. Het verschil tussen de boete voor de PVV Overijssel en het mondiale bedrijf Booking.com is een concreet voorbeeld van de werking van deze proportionaliteit.
Een welkome aanvulling op de huidige beleidsregel van de AP
De boetebeleidsregels van de AP bestaan voornamelijk uit een categorisering van de verschillende overtredingen. Deze categorisering wordt gekoppeld aan bepaalde minimum- en maximumbedragen. Naast deze categorisering zijn relevante factoren opgesomd. Het richtsnoer van de EDPB biedt uitgebreide aanvullende uitleg bij deze factoren. Ook geeft het veel inzicht in de door een toezichthouder af te leggen weg. Hoe verloopt het van de start van een onderzoek naar de daadwerkelijke beboeten? Het volgen van deze voorschriften zal naar mijn mening leiden tot consistentere en transparantere handhaving door de AP.
Treedt de AP handhavend tegen u op? Of is de AP een onderzoek begonnen? Wij kunnen u van het begin tot het einde helpen in deze lastige kwesties. Neem contact op met één van onze privacyrecht specialisten.